<?php
	// Abrimos la sesion del cliente
	session_start();
	// Comprobamos si es una peticion por POST
	if($_SERVER['REQUEST_METHOD'] == 'POST'){
		// Comprobamos si esta bien formulado el post
		if(isset($_POST['datosPostPanel'])){
			if(isset($_POST['peticionAjax'])){
				$datosPostPanel = $_POST['datosPostPanel'];
			}else{
				$datosPostPanel = json_decode($_POST['datosPostPanel'], true);
			}
			// strip_tags elimina codigo html por si lo hubiese, previene un posible ataqye de XSS (que se ejecute código
			// html en nuestro servidor enviado desde un formulario)
			$accion = strip_tags($datosPostPanel['accion']);
			$tokenCSRF = strip_tags($datosPostPanel['tokenCSRF']);
			$tipoFormulario = strip_tags($datosPostPanel['tipoFormulario']);
			$idComercio = $_SESSION['usuario'];

			// Comprobamos la igualdad de tokens, si no son iguales es que estamos ante un ataque CSRF
			if(!isset($_SESSION[$tipoFormulario]) || $tokenCSRF !== $_SESSION[$tipoFormulario]){
				// Ataque CSRF
				throw new RuntimeException('Ataque CSRF');
			}else{
				if($accion == 'cuadroProducto'){
					require_once('../bd/db_conectorMySQL.php');
		    		// Conectamos la base de datos
					$dbConfiguracion = new DB_ConectorMySQL();
					$respuestaServidor = $dbConfiguracion -> obtenerProductoMes($idComercio);
					echo json_encode($respuestaServidor);
				}else if($accion == 'cuadroGanancia'){
					require_once('../bd/db_conectorMySQL.php');
		    		// Conectamos la base de datos
					$dbConfiguracion = new DB_ConectorMySQL();
					$respuestaServidor = $dbConfiguracion -> obtenerGananciaMes($idComercio);
					echo json_encode($respuestaServidor);
				}else if($accion == 'cuadroEmpleado'){
					require_once('../bd/db_conectorMySQL.php');
		    		// Conectamos la base de datos
					$dbConfiguracion = new DB_ConectorMySQL();
					$respuestaServidor = $dbConfiguracion -> obtenerEmpleadoMes($idComercio);
					echo json_encode($respuestaServidor);
				}
			}
		}
	}
?>